吉林省安讯汇川科技有限公司
信息安全系统您所在的位置:首页>解决方案
信息安全系统

一、网络信息安全问题概述

    随着互联网发展和IT技术的普及,网络和IT已经日渐深入到日常生活和工作当中,社会信息化和信息网络化,突破了应用信息在时间和空间上的障碍,使信息的价值不断提高。但是与此同时,网页篡改、计算机病毒、系统非法入侵、数据泄密、网站欺骗、服务瘫痪、漏洞非法利用等信息安全事件时有发生。目前,许多企事业单位的业务依赖于信息系统安全运行,信息安全重要性日益凸显。信息已经成为各企事业单位中重要资源,也是一种重要的“无形财富”,在未来竞争中谁获取信息优势,谁就掌握了竞争的主动权。信息安全已成为影响国家安全、经济发展、社会稳定、个人利害的重大关键问题。 

二、安全风险分析 

    我们按照国际上流行的安全隐患分析思想,采取对系统分层的方法,从物理层、网络层、系统层、应用层和管理层等五个层次来分析其可能的安全隐患。我们在每个层面上进行细致的分析,根据风险分析的结果设计出符合具体实际的、可行的安全整体解决方案。

1.物理层安全风险分析
    1)物理安全应从如下几个方面来考虑:
    2)设备被盗、被毁坏 ;
    3)链路老化或被有意或者无意的破坏 ;
    4)计算机硬件故障 ;
    5)设备意外故障停电 ;
    6)地震、火灾、水灾等自然灾害 ;
    7)链路冗余性;
    8)内部网络与Internet之间的物理隔离性。

2.网络层安全风险分析
    我们认为在网络层面,前面临的风险有以下几点:
1) 缺乏有效的访问控制机制:
  内部用户存在越权访问、修改甚至破坏重要信息的可能性;
  有可能遭到来自外部网络的非法访问和恶意攻击:一些网站和数据库是可以被外部访问的,这些都有可能成为攻击对象。
2) 缺乏实时、全局的网络信息监控机制:
  对网络设备和关键主机的运行状态缺乏实时的监控:一旦某个点出现问题,往往会花费大量人工时间在查找出问题的网络上;
  对来自内、外部网络中的攻击信息不能做到实时记录和报警:如果没有建立主动的安全防范意识,我们往往是在事后才知道发生了什么事情。
3) 重要的网络设备缺乏冗余,很容易出现单点故障:
  网络内很多关键设备缺乏冗余特征,例如防火墙、路由器和交换机。一旦其中的一台设备出现问题,整个网络都会中断。

3.系统层安全风险分析 
    操作系统存在不安全因素将是黑客攻击得手的关键因素。黑客攻击某网络系统一般都是通过攻击软件扫描该网络系统中主机是否存在安全漏洞,并通过可利用的安全漏洞进行攻击或控制这台主机为以后进一步攻击打下基础。
针对系统层,存在的安全风险有:
1) 网络中存在大量的Windows系列客户端和服务器,还有大量的路由器和交换机需要全面及时的修改缺省配置,进行安全配置和补丁升级工作;
2) 缺乏一个有效的系统风险评估和主机加固机制,单纯靠网络管理员进行手工评估有很大的局限性;
3) 缺乏一个及时的安全通告机制:我们无法准确及时的跟踪各种系统补丁或安全告警的发布,当危险发生时,我们大部分人还一无所知。
  再安全的网络设备离不开人的管理,再好的安全策略最终要靠人来实现,因此管理是整个网络安全中最为重要的一环,尤其是对于一个比较庞大和复杂的网络,更是如此。因此我们有必要认真的分析管理所带来的安全风险,并采取相应的安全措施

4.应用层安全风险分析 
    应用层侧重于从网络的应用层面来考虑风险因素,应从以下几个方面分析:
1)   身份认证风险
2)   安全审计功能缺乏
3)   应用软件的本身的漏洞
4)   病毒的传播
5)   数据库的安全性
6)   重要信息缺乏备份机制
5. 管理层安全风险

    再安全的网络设备离不开人的管理,再好的安全策略最终要靠人来实现,因此管理是整个网络安全中最为重要的一环,尤其是对于一个比较庞大和复杂的网络,更是如此。因此我们有必要认真的分析管理所带来的安全风险,并采取相应的安全措施。 
    当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警。同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。建立全新网络安全机制,必须深刻理解网络并能提供直接的解决方案,因此,最可行的做法是管理制度和管理解决方案的结合。

三、解决方案

1.方案拓扑

2.物理层解决方案
1)制定完善的机房、设备管理规范;
2)加强设备安全性,主要包括:
     a)设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰; 
     b)关键服务器冗余; 
     c)提高全员安全意识;

3.网络层解决方案
1)在网络边界部署访问控制设备-防火墙,并需要实施相应的访问控制策略。
2)根据对外提供信息查询等服务的要求,为了控制对关键服务器的授权访问控制,建议把各种服务器集合起来划分为一个专门的服务器区域,并在服务器区前面部署防火墙,设置访问控制策略来保护对它们的访问。
3)在防火墙后面部署防毒墙设备,提供网关层次的防毒能力。
4)在网关处部署入侵防御设备,可以实时检测到来自对互联网和对服务器区内服务器的各种攻击,同时实时做出各种预先定义的响应,力求作到在黑客造成破坏之前发现问题,解决问题。

4.系统层解决方案 
1)采用漏洞分析技术来对网络进行漏洞扫描,发现网络各点存在的问题,作到主动发现网络漏洞。 
2)针对重要服务器的操作系统、网络应用程序进行加固,提高自身的健壮性、安全性。主机加固应涉及系统补丁、系统服务和帐号的安全化、安全配置系统内核参数、配置访问控制策略、集中式的日志审计、关键文件完整性检查等多各方面。  
3)针对服务器区的服务器,还应考虑额外的安全配置,包括:抗拒绝服务攻击能力、日志审计的严密性、关键数据冗余性。  

5.应用层解决方案 
1)跟据网络应用安全等级建立一套完备的身份认证体系,从简单的用户名口令到复杂的IC卡、数字证书等,最终建立一个跨平台跨应用的,用户只需要进行一次身份认证的体系。 
2)结合网络的信息数据的重要性,数据备份和故障恢复应该是重点考虑的方面。 
3)目前病毒是网络中最常见、威胁最大的安全来源,建立一个全方位的病毒防范系统是网络安全体系建设的重要任务。根据网络结构和计算机分布情况,病毒防范系统的安装实施要求为:能够配置成分布式运行和集中管理,由防病毒代理和防病毒服务器端、和病毒集中控管中心组成。在防病毒服务器端能够交互式地操作防病毒客户端进行病毒扫描和清杀,设定病毒防范策略。能够从多层次进行病毒防范,第一层工作站、第二层服务器、第三层网关都能有相应的防毒软件提供完整的、全面的防病毒保护。 

6.管理层解决方案
1)面对网络安全的脆弱性,除在网络设计上增加安全服务功能,完善系统的安全保密措施外,还必须花大力气加强网络的安全管理,制定安全管理制度。
2)网络安全管理,主要针对路由器、交换机、防火墙、入侵检测系统等网络设备进行管理;
3)应用安全管理,主要对网络安全体系的应用安全系统进行管理,如用户认证系统的管理、病毒防范系统的管理、用户应用系统管理。

地址:吉林省长春市朝阳区大兴路778号 版权所有:吉林省安讯汇川科技有限公司 ICP备案编号:吉ICP备10003329号技术支持:亿人科技